Поговорим о DLP. Как уберечься от инсайда

 АНДРЕЙ БИРЮКОВ, специалист по информационной безопасности. Работает в крупном системном интеграторе. Занимается внедрением решений по защите корпоративных ресурсов

Поговорим о DLP
Как уберечься от инсайда

Утечки информации стали настоящей головной болью администраторов. Какие сегодня имеются средства для борьбы с этим злом?

В любой компании информация является одним из ценнейших активов. Списки корпоративных клиентов и партнеров, их контакты, внутренние цены на работы и услуги, оклады сотрудников, различные пароли, учетные данные и многое другое может быть лакомым куском для конкурентов. И во многих компаниях принимаются меры по защите этих ресурсов – разворачиваются различные корпоративные средства защиты, такие как криптографические системы, средства межсетевого экранирования, средства фильтрации электронной почты и многое другое. Однако этих систем недостаточно для предотвращения утечек информации.

Дело в том, что криптографические системы, всевозможные электронные замки и прочие аналогичные средства ориентированы на предотвращение кражи носителя информации, например, кражи ноутбука или флеш-карты памяти. Но что если похитителем является законный пользователь системы? Другие средства защиты, такие как межсетевые экраны и системы фильтрации, ориентированы на защиту от злоумышленника, находящегося за пределами защищенного периметра. А если он находится внутри сети, обладает правами доступа и ему необходимо переправить конфиденциальную информацию за периметр? Очевидно, что описанные выше средства защиты вряд ли смогут предотвратить утечку данных изнутри.

Как российские, так и международные стандарты информационной безопасности предписывают перед внедрением средств защиты составить модель нарушителя и модель угроз. С нарушителем мы определились – это сотрудник организации, обладающий определенными правами доступа и пытающийся каким-либо способом переправить конфиденциальные данные за пределы периметра безопасности. Он это может сделать любым способом – от передачи по электронной почте, сохранения на бесплатном файловом хранилище или записи на флеш-карту памяти до снятия содержимого экрана на камеру телефона, установки закладок (жучков) и других средств промышленного шпионажа.

Модель угроз содержит угрозы хищения конфиденциальных данных посредством описанных выше способов. В частности, возможны угрозы хищения либо разглашения конфиденциальной информации, реализованные с помощью несанкционированного копирования данных на флеш-карту или передачу по электронной почте. При этом для бизнеса возникают весьма серьезные риски. На новостных ресурсах, посвященных ИТ и информационной безопасности, регулярно появляются сообщения, связанные с хищением конфиденциальной информации. Ущерб от таких инцидентов, как правило, исчисляется сотнями миллионов долларов.

Что такое DLP?

Для борьбы с утечками данных используются различные средства защиты, некоторые из них я уже перечислил ранее, однако наибольшее развитие в последнее время получила технология DLP (Data Leakage Prevention – предотвращение утечки данных). Здесь имеется в виду хищение данных сотрудниками компании.

Также в некоторых источниках можно встретить расшифровку DLP как Data Loss Prevention (предотвращение потери данных). В этом случае речь идет уже о потере носителя данных, например, в результате пожара или выхода оборудования из строя. Соответственно средства защиты от такой потери данных должны включать в себя резервное копирование и обеспечение отказоустойчивости системы. Так что Data Loss Prevention – это более общее понятие, имеющее отношение не только к информационной безопасности.

Итак, мы разобрались с угрозами, нарушителями и определениями систем DLP. Перейдем непосредственно к описанию того, как работают системы предотвращения утечек.

Прежде всего будем считать, что полноценной системой DLP является система, позволяющая осуществлять блокировку передачи данных с любого интерфейса компьютера. Нас не устраивает система DLP, которая блокирует только передачу данных по сети, но не контролирует порты компьютера. Также система, которая контролирует USB-порты, но не следит за SATA, и любой, кто имеет физический доступ к системной плате компьютера, сможет без труда подключить свой диск и переписать конфиденциальные данные.

Сразу оговоримся, что DLP не могут предотвратить визуальный съем данных с экрана монитора. Злоумышленник может снять картинку с экрана на свой мобильный телефон. Борьбой с такими утечками обязана заниматься служба безопасности организации, осуществляя слежение за действиями сотрудников посредством камер наблюдения, которые должны быть установлены в каждом рабочем помещении. Также DLP не занимается предотвращением утечек через ПЭМИН (побочное электромагнитное излучение наводки), так как для борьбы с этим необходимо специализированное и дорогое оборудование.

Как работает DLP?

Итак, полноценная система объединяет контроль над перемещением информации как на уровне коммуникаций с внешней сетью, так и на уровне оконечных устройств пользователей. Кстати, важной функцией полноценного решения DLP является возможность сканирования хранящихся файлов и баз данных для обнаружения мест расположения конфиденциальной информации. И еще желательно, чтобы система имела централизованный интерфейс управления всеми установленными на рабочие станции агентами.

Архитектура DLP-решений у разных разработчиков может различаться, но в целом можно выделить три основных модуля:

• перехватчики/контроллеры на разные каналы передачи информации;
• агентские программы, устанавливаемые на оконечные устройства;
• центральный управляющий сервер.

Перехватчики анализируют проходящие потоки информации, исходящей из периметра компании, обнаруживают конфиденциальные данные, классифицируют информацию и передают для обработки возможного инцидента на управляющий сервер. Перехватчики могут быть как для копии исходящего трафика, так и для установки в разрыв трафика. В последнем случае потенциальная утечка может быть остановлена системой DLP.

Контроллеры для обнаружения хранимых данных запускают процессы обнаружения в сетевых ресурсах конфиденциальной информации. Способы запуска обнаружения могут быть различными: от собственно сканирования от сервера контроллера до запуска отдельных программных агентов на существующих серверах или рабочих станциях.

Контроллеры для операций на рабочих станциях распределяют политики безопасности на оконечные устройства, анализируют результаты деятельности сотрудников с конфиденциальной информацией и передают данные возможного инцидента на управляющий сервер.

Агентские программы на рабочих местах пользователей замечают конфиденциальные данные в обработке и следят за соблюдением таких правил, как сохранение на сменный носитель информации, отправки, распечатывания, копирования через буфер обмена.

Управляющий сервер сопоставляет поступающие от перехватчиков и контроллеров сведения и предоставляет интерфейс проработки инцидентов и построения отчетности.

Естественно, для того, чтобы система DLP достоверно различала конфиденциальную и открытую информацию, необходимо передать в систему логику, на основании которой должна происходить классификация. Встроенные механизмы DLP позволяют максимально автоматизировать и облегчить процессы обучения системы. В решениях DLP имеется широкий набор комбинированных методов:

• цифровые отпечатки документов и их частей (в систему вводятся сотни тысяч документов одной командой);
• цифровые отпечатки баз данных (в систему вводятся выгрузки из баз данных клиентов и прочей структурированной информации, которую важно защитить от распространения);
• статистические методы (повышение чувствительности системы при повторении нарушений).

Как лучше настраивать систему DLP?

Современные системы класса DLP включают в себя набор готовых правил реагирования на обнаружение, например, данных кредитных карт, российских паспортов, стандартных форм финансовой отчетности. Но наибольший интерес системы DLP представляют после настройки на образцах конфиденциальных данных, имеющихся в обращении.

В статье [1] приводится принцип эксплуатации системы DLP, который заключается в циклическом выполнении нескольких процедур, описанных в таблице 1. При внедрении системы DLP следует подготовить набор правил для классификации документов, имеющихся в организации.

Таблица 1. Принципы эксплуатации систем DLP

Мы разобрали требования к системам предотвращения утечек, изучили их архитектуру и требования к настройке. Теперь перейдем непосредственно к описанию имеющихся на рынке решений DLP.

Решения Websense

Продукты Websense представляют полноценный функционал по предотвращению утечек данных. Для предотвращения утечек по сетевым каналам связи разработчик предлагает Websense Data Security – систему защиты, основанную на контроле исходящего сетевого трафика, поиска хранимых данных и агентского контроля. Шлюзовые компоненты Data Security осуществляют контроль всех сетевых коммуникаций: электронной почты, веб-трафика, средств мгновенного обмена сообщениями и даже внутренней почты Exchange. При нарушении политики обмена данными могут быть заблокированы протоколы SMTP, HTTP и FTP.

Отдельно отмечу возможность анализа шифрованного трафика. С помощью дополнительного продукта Websense Content Gateway можно, используя сертификаты шифрования, осуществлять контроль шифрованного трафика.

При обнаружении инцидента утечки можно настроить следующие типы реакции: блокировка (SMTP, HTTP), карантин для SMTP, оповещение, перенаправление на шифрование. Для определения конфиденциального контента Websense использует цифровые отпечатки текста и баз данных, преднастраиваемые политики, в том числе и для русскоязычных документов, а также регулярные выражения и ключевые слова.

Система поддерживает порядка 400 основных форматов данных, т.е. может открывать и сканировать файлы данных форматов. Также система может открывать архивные файлы.

Для контроля хранимой информации (Data at Rest) и предотвращения утечек по данным каналам используется Websense Data Discover. Сканирование для обнаружения хранимой информации инициируется с помощью управляющего сервера, который запускает соответствующий процесс. С помощью агентов можно просканировать рабочие станции. Websense Data Discover может обрабатывать следующие источники статично хранящейся информации: файловые серверы (SMB), конечные рабочие станции, сетевые ресурсы общего доступа, порталы Sharepoint, базы данных с помощью ODBC, Exchange Server.

К сожалению, из систем документооборота может сканироваться только MS Sharepoint.

В качестве метода детектирования конфиденциального контента, как и в предыдущем модуле Websense, выступают цифровые отпечатки текста и баз данных, преднастроенные политики, регулярные политики и ключевые слова.

Следующим средством контроля утечки данных является Websense Data Endpoint. Данный модуль осуществляет контроль утечек данных с рабочей станции пользователя. Основными контролируемыми операциями являются: запись на съемные устройства, операции печати, отправка информации через локальные соединения, операции с буфером обмена (с возможностью блокирования).

Распечатка документов является одной из самых распространенных операций, которую совершает каждый офисный служащий практически ежедневно. Websense Data Endpoint контролирует печать на уровне рабочих станций. Также с помощью дополнительного модуля Printer Agent w/ORC возможно оптическое распознавание.

Механизмы распознавания: цифровые отпечатки текста, преднастроенные политики, регулярные выражения и ключевые слова.

Websense Data Endpoint поддерживает 32-битные редакции операционных систем Windows 2000/XP/Vista/7.

Еще одним важным условием является наличие средства централизованного управления системой и обработки инцидентов.

Интерфейс системы управления

У Websense данный продукт называется DSS Manager. Анализ фиксируемых событий осуществляется в едином веб-интерфейсе для всех событий. Для настройки политик используется отдельный интерфейс. История зафиксированных инцидентов сохраняется в специальном протоколе. В системе присутствует необходимая функциональность – разделение ролей системного администратора и администратора безопасности. Существует также возможность гибкой настройки ролей. При обнаружении инцидента возможны следующие ответные реакции: эскалация инцидента, запрос на разрешение пропуска сообщения электронной почты, закрытие инцидента и запуск сценария.

Рисунок 1. Websense. Интерфейс системы управления

Итак, я описал функционал продуктов Websense. Перейдем к описанию решений от других разработчиков.

Решения Symantec

Продукты Symantec разделяются по аналогичному Websense принципу: контроль сетевого трафика, хранимых данных и рабочих мест пользователей.

Для предотвращения утечек по сетевым каналам связи нам предлагается Symantec Data Loss Prevention, система защиты, также основанная на контроле исходящего сетевого трафика, поиска хранимых данных и агентского контроля. Шлюзовые компоненты осуществляют контроль всех сетевых коммуникаций, таких как электронная почта, веб-трафик, средства мгновенного обмена сообщениями и Exchange. При нарушении политики обмена данными могут быть заблокированы протоколы SMTP, HTTP и FTP.

Возможность анализа шифрованного трафика HTTPS здесь также присутствует – с помощью сторонних решений, например BlueCoat, либо агентской части DLP Endpoint Prevent, о которой мы поговорим далее.

При обнаружении инцидента утечки в этом продукте можно настроить извещение пользователя, оповещение владельца информации или администратора информационной безопасности, блокировку, перенаправление на принудительное шифрование. Для определения конфиденциального контента продукт использует цифровые отпечатки текста и выборок, преднастраиваемые политики, в том числе и для русскоязычных документов, а также регулярные выражения и ключевые слова.

Система так же, как и Websense, поддерживает порядка 400 основных форматов данных, в том числе и вложенные в архивы документы.

Для контроля хранимой информации используется Symantec Network Discover. Сканирование для обнаружения хранимой информации инициируется с помощью управляющего сервера, который запускает соответствующий процесс. Также возможно принудительное перемещение найденных файлов (Network Protect). С помощью агентов можно просканировать рабочие станции. Symantec Network Discover может обрабатывать следующие источники статично хранящейся информации: файловые серверы, системы документооборота, почтовые базы Exchange, Lotus Domino.

Данный продукт может сканировать документы следующих систем документооборота: EMC Documentum, MS Exchange и Lotus Domino. Для организаций, активно использующих такие продукты на базе Lotus Domino, как CompanyMedia, это может оказаться значительным плюсом.

В качестве метода детектирования конфиденциального контента, как и в Websense, выступают цифровые отпечатки текста и баз данных, преднастроенные политики, регулярные выражения и ключевые слова.

Следующим средством контроля утечки данных является Symantec Endpoint Prevent & Discover. Данный модуль осуществляет контроль утечек данных с рабочей станции пользователя. Основными контролируемыми операциями являются: запись на съемные устройства, операции печати, отправка информации через локальные соединения (в том числе и через HTTPS), операции с буфером обмена (также с возможностью блокирования). Контроль печати Symantec осуществляет на уровне рабочих станций.

Механизмы распознавания – регулярные выражения и ключевые слова. Цифровые отпечатки могут использоваться в отложенном режиме после передачи на сервер Endpoint Prevent.

Symantec Endpoint Prevent & Discover поддерживает 32-битные редакции операционных систем Windows 2000/XP/Vista/7.

Что касается средства централизованного управления, то у Symantec это DLP Enforce Platform. Анализ фиксируемых событий осуществляется в едином веб-интерфейсе для всех событий. Функционал данного модуля аналогичен Websense. Поэтому описывать его повторно я не буду.

Рисунок 2. Интерфейс системы управления Symantec DLP

Решения RSA

У этого разработчика, известного прежде всего своими средствами шифрования, имеется продукт RSA DLP Suite. Данная система защиты основана на контроле исходящего сетевого трафика, поиске хранимых данных и агентского контроля. Шлюзовые компоненты DLP Suite осуществляют контроль всех сетевых коммуникаций. При нарушении политики обмена данными могут быть заблокированы протоколы SMTP, HTTP. Для контроля HTTPS используются собственные решения, разработанные RSA.

При обнаружении инцидента утечки, возможны следующие реакции: блокировка, карантин и оповещение. Для определения конфиденциального контента здесь используются цифровые отпечатки текста и баз данных, преднастраиваемые политики, регулярные выражения и ключевые слова.

Так же, как и у описанных ранее разработчиков, сканируются все основные форматы.

Для контроля хранимой информации используется DLP Datacenter Discover and Remediate. Сканирование для обнаружения хранимой информации инициируется с помощью сканирующих агентов для серверов под управлением разнообразных серверных платформ. Также возможно принудительное перемещение найденных файлов. RSA может обрабатывать следующие источники статично хранящейся информации: файловые серверы, конечные рабочие станции, сетевые папки общего доступа. Единственным способом контроля систем документооборота является контроль приложений – толстых клиентов.

В качестве метода детектирования конфиденциального контента, как и в предыдущих модулях, выступают цифровые отпечатки, преднастроенные политики, регулярные выражения и ключевые слова.

Следующим средством контроля утечки данных является RSA DLP Endpoint Enforce. Основными контролируемыми операциями являются: запись на съемные устройства, операции печати, отправка информации через браузеры с возможностью блокирования.

Продукт RSA поддерживает 32-битные редакции операционных систем Windows 2000/XP/Vista/7.

Решение RSA также имеет веб-интерфейс для управления, имеющий базовый функционал для управления инцидентами.

Решения Infowatch

Следующим в нашем списке разработчиков DLP-решений идет российская компания Infowatch. К сожалению, их решения нельзя назвать полноценной системой предотвращения утечек данных, так как полностью отсутствует контроль хранимой информации, что несколько усложняет контроль утечек.

Для предотвращения утечек по сетевым каналам связи разработчик предлагает Infowatch Traffic Monitor – систему защиты, основанную на контроле исходящего трафика по сетевым каналам, мониторинга содержимого, передаваемого на сменные носители. Шлюзовые компоненты Traffic Monitor осуществляют контроль электронной почты, веб-трафика и средств мгновенного обмена сообщениями. При нарушении политики обмена данными могут быть заблокированы протоколы SMTP и HTTP.

Анализ HTTPS осуществляется с помощью решения, разработанного Infowatch.

При обнаружении инцидента утечки возможны реакции: блокировка, карантин, оповещение. Для определения конфиденциального контента Infowatch использует цифровые отпечатки текста.

Система поддерживает форматы офисных документов: текстовые, HTML, PDF.

Следующим средством контроля утечки данных является Traffic Monitor for Device. Основная контролируемая операция – запись на съемные устройства без блокирования.

Распечатка документов контролируется с помощью дополнительного модуля Print Monitor.

Решение от Infowatch поддерживает 32-битные редакции операционных систем Windows 2000/XP/Vista/7.

Решения McAfee

McAfee Host DLP предназначен для предотвращения утечек с клиентского рабочего места. Система защиты основана на агентском контроле использования конфиденциальной информации. Таким образом, задачи контроля утечек осуществляются только на стороне клиента McAfee Host DLP.

При обнаружении инцидента утечки на уровне клиента можно настроить следующие типы реакции: мониторинг, оповещение, блокирование. Для определения конфиденциального контента система использует цифровые отпечатки текста, метки, а также регулярные выражения и ключевые слова.

Система поддерживает все основные форматы файлов.

McAfee Host DLP контролирует: запись на съемные устройства, операции печати, отправку информации через локальные соединения, операции с буфером обмена (с возможностью блокирования).

Контроль печати осуществляется, как и следовало ожидать, только на уровне рабочих станций. Поддерживаются 32-битные редакции операционных систем Windows 2000/XP/Vista/7.

В качестве средства централизованного управления используется McAfee ePolicy Orchestrator. Функционал системы управления аналогичен описанному ранее у других продуктов.

Цена вопроса

Описание DLP-решений было бы неполным без цен на используемые продукты. Для поиска цен предлагаю воспользоваться таблицей, приведенной на сайте Cnews [2].

А что же Linux?

Внимательный читатель наверняка заметил, что в занудных описаниях поддерживаемых операционных систем совершенно отсутствуют какие-либо дистрибутивы Linux. Это означает, что установить агентское ПО на рабочую станцию под управлением Linux не получится. Однако серверные части Symantec DLP можно установить на Red Hat Enterprise Linux 4.0 и 5.0. Аналогично Infowatch Traffic Monitor можно установить на RHEL 4. При этом станет осуществляться контроль сетевых каналов, но нельзя будет осуществлять контроль действий с файлами на хостах. Хочется надеяться, что скоро ситуация изменится к лучшему.

***

Мы рассмотрели основные решения по обеспечению предотвращения утечек данных. В зависимости от используемых в вашей сети приложений и протоколов можно выбрать решение, подходящее именно вам.

1. http://www.leta.ru/press-center/publications/article_490.html – статья об интеграции DLP и IRM.
2. http://www.cnews.ru/reviews/free/security2009/articles/dpl_table.shtml – таблица с описанием функционала DLP-решений.

Комментарии могут оставлять только зарегистрированные пользователи